安全科普:什么是暴力破解攻击?如何检测和防御?

标签: WEB安全 专题 暴力攻击 | 发表时间:2014-11-21 15:33 | 作者:hujias
出处:http://www.freebuf.com

‍‍‍‍ 众所周知, iCloud艳照门其实并不高明,黑客通过暴力破解攻击不断尝试登录用户的账号名和密码,最终获取好莱坞明星的iCloud账号。什么是暴力破解攻击?怎样检测暴力破解攻击以及怎样防护呢?‍‍‍‍‍‍‍

什么是暴力破解攻击?

暴力破解攻击是指攻击者通过系统地组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。

对防御者而言,给攻击者留的时间越长,其组合出正确的用户名和密码的可能性就越大。这就是为什么时间在检测暴力破解攻击时是如此的重要了。

怎样检测暴力破解攻击?

暴力破解攻击是通过巨大的尝试次数获得一定成功率的的。因此在web(应用程序)日志上,你会经常发现有很多的登录失败条目,而且这些条目的IP地址通常还是同个IP地址。有时你又会发现不同的IP地址会使用同一个账户、不同的密码进行登录。

大量的暴力破解请求会导致服务器日志中出现大量异常记录,从中你会发现一些奇怪的进站前链接(referring urls),比如:http://user:[email protected]/login.html。

有时,攻击者会用不同的用户名和密码频繁的进行登录尝试,这就给主机入侵检测系统或者记录关联系统一个检测到他们入侵的好机会。当然这里头会有一些误报,需要我们排除掉。 例如,同一个IP地址用同一个密码重复登录同一个账户,这种情况可能只是一个还未更新密码或者未获得正确认证的Web/移动应用程序而已,应排除掉这种干扰因素。

怎样防御暴力破解攻击?

尽管暴力破解攻击并不是很复杂的攻击类型,但是如果你不能有效的监控流量和分析的话,它还是会有机可乘的。因此,你需要对用户请求的数据做分析,排除来自用户的正常访问并根据优先级排列出最严重最紧急的威胁,然后做出响应。

安全研究人员开发了一个由内置关联规则驱动的IDS(入侵检测系统)和记录关联系统,它可以及时通知你是否受到了攻击者的暴力破解攻击。系统警报仪表会显示所有的威胁,并按威胁级别分类。

如图,泡沫越大,就说明在这一时间内的威胁越广泛。

‍‍在下面这张图中,系统记录的细节已经被解译成我们可以理解的内容了:可疑的209.239.114.179正在尝试SSH登录

‍‍系统‍‍‍‍还会把IP信息‍与威胁信息分享平台‍进行‍‍‍‍核对。

下图中展示的是可疑IP在威胁信息分享平台上的所有信息,包括了与之相关联的任何恶意活动。系统会对可能性最大的IP进行阻断,进而防止其进一步的暴力破解。

‍‍

‍‍ [参考来源 http://thehackernews.com ,FreeBuf编译,有删减,转载请注明来自Freebuf.COM]

相关 [安全 科普 暴力破解] 推荐:

安全科普:什么是暴力破解攻击?如何检测和防御?

- - FreeBuf.COM | 关注黑客与极客
iCloud艳照门其实并不高明,黑客通过暴力破解攻击不断尝试登录用户的账号名和密码,最终获取好莱坞明星的iCloud账号. 怎样检测暴力破解攻击以及怎样防护呢. 暴力破解攻击是指攻击者通过系统地组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能性破解用户的账户名、密码等敏感信息. 攻击者会经常使用自动化脚本组合出正确的用户名和密码.

你的密码安全吗?来用 GPU 暴力破解密码

- 小筱 - Engadget 中国版
[作者:Fox Mulder]. 这是一个相当有趣的小工具,能够让你用 GPU 暴力破解密码,从新闻中的描述,Radeon HD 5770 每秒可以进行33亿次的运算. Radeon HD 5770能够在一秒钟之内破解一个五位数的密码 "fjR8n" ....... 引用来源 | 引用来源 | 此文章网址 | 转寄此文章 | 回应.

DenyHosts防SSH暴力破解

- - 操作系统 - ITeye博客
DenyHosts官方网站为: http://denyhosts.sourceforge.net. 1、首先判断系统安装的sshd是否支持tcp_wrappers(默认都支持). 2、判断默认安装的Python版本. Centos5.5默认已安装了python 2.4.3. 二、已安装Python2.3以上版本的情况.

暴力破解及其流行工具研究

- - FreeBuf互联网安全新媒体平台
暴力破解攻击是最流行的密码破解方法之一,然而,它不仅仅是密码破解. 暴力攻击还可用于发现Web应用程序中的隐藏页面和内容,在你成功之前,这种攻击基本上是“攻击一次尝试一次”. 这种攻击有时需要更长的时间,但其成功率也会更高. 在本文中,我将尝试解释在不同场景中使用的暴力攻击和流行工具,来执行暴力攻击并获得所需结果.

攻击者不愿费力暴力破解长密码

- - 奇客Solidot–传递最新科技情报
根据微软蜜罐服务器网络收集的数据,大多数暴力破解攻击者 主要尝试猜测短密码,很少攻击针对长的或包含复杂字符的凭证. 微软安全研究员 Ross Bevington 表示:“我分析了超过一百万次针对 SSH 的暴力攻击输入的凭据. 这是微软传感器网络中约 30 天的数据. ”作为微软的欺诈主管,Bevington 的任务是创建看起来合理的蜜罐系统以研究攻击者趋势,他表示:“77% 使用的是长度在 1 至 7 个字符之间的密码.

安全科普:深入浅出DDoS攻击防御 防御篇

- - Seay's blog 网络安全博客
谈到DDoS防御,首先就是要知道到底遭受了多大的攻击. 这个问题看似简单,实际上却有很多不为人知的细节在里面. 以SYN Flood为例,为了提高发送效率在服务端产生更多的SYN等待队列,攻击程序在填充包头时,IP首部和TCP首部都不填充可选的字段,因此IP首部长度恰好是20字节,TCP首部也是20字节,共40字节.

安全科普:深入浅出DDoS攻击防御 攻击篇

- - Seay's blog 网络安全博客
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一. 按照发起的方式,DDoS可以简单分为三类. 第一类以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统、快速高效的应急流程无用武之地.

[安全科普]你必须了解的session的本质

- - FreeBuf.COM
有一点我们必须承认,大多数web应用程序都离不开session的使用. 这篇文章将会结合php以及http协议来分析如何建立一个安全的会话管理机制. 我们先简单的了解一些http的知识,从而理解该协议的无状态特性. 然后,学习一些关于cookie的基本操作. 最后,我会一步步阐述如何使用一些简单,高效的方法来提高你的php应用程序的安全性以及稳定行.

安全科普:利用WireShark破解网站密码

- - 氪星人
当我们输入账号、密码登录一个网站时,如果网站允许你使用HTTP(明文)进行身份验证,那么此时捕获通信流量非常简单,我们完全可以对捕获到的流量进行分析以获取登录账号和密码. 这种方法不仅适用于局域网,甚至还适用于互联网. 这就意味着,攻击者将可以破解任何使用HTTP协议进行身份验证的网站密码. 在局域网内要做到这一点很容易,这不禁使你惊讶HTTP是有多么的不安全.

网络安全科普:详解 HTTPS 与 TLS

- - Joe’s Blog
现在的网站都推荐使用 HTTPS 来确保用户数据的安全,验证网站的所有权,防止攻击者创建虚假网站版本,以及将信任传达给用户. 如果网站要求用户登录、输入个人详细信息(例如其信用卡号)或查看机密信息(例如,健康福利或财务信息),则必须对数据保密. 作为普通用户,当我们上网冲浪时,是否想过为什么越来越多的域名输入时是 HTTPS 开头而非 HTTP 么.